Author: Da_pierre

Pas de shrinkflation pour la sécurité des hopitaux: NIS2, MATURIN-H… et maintenant une recommandation CNIL
cybersécurité, Donnée de santé, Droit de la santé, Droit des données, Hébergeur, RGPD, Sécurité informatique, SIH par Da_pierre le 13/09/2023

Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ». Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés …
En savoir plus
L’extension des règles d’identitovigilance à la protection des données
Accès au dossier médical, Donnée de santé, Droit de la santé par Da_pierre le 06/09/2023

La sécurité des soins suppose de pouvoir garantir qu’une personne est bel et bien le patient connu du système d’information. Les règles d’identitovigilance, désormais posées par le référentiel national d’identitovigilance, ont été élaborées à cette fin. Elles restent toutefois d’application délicate. Le Graal de l’identité qualifiée – supposant notamment le recours à « un dispositif à haut degré de confiance » – est en effet loin d’être …
En savoir plus
Responsabilité RGPD : La ligne fine entre le manquement non intentionnel et l’incident
Responsabilité, RGPD par Da_pierre le 30/08/2023

En cas de manquement RGPD, le responsable peut-il s’exonérer de sa responsabilité? Difficilement, voire quasiment pas, au regard du principe de responsabilité. Conséquence directe, le caractère non-intentionnel, involontaire de la violation est sans effet (AEPD, Free Energy, n° PS-00099-2022 ; Délibération de la formation restreinte n° SAN-2022-023 du 19 décembre 2022). De la même façon, les faits commis par un membre du personnel, sans instruction …
En savoir plus
RGPD au tribunal: les dilemmes du responsable de traitement
RGPD par Da_pierre le 23/08/2023

A l’instar du dépositaire du secret professionnel, un responsable de traitement peut se retrouver devant une alternative dans le cadre d’une procédure judiciaire. Peut-il ou non transmettre des données lui étant demandées par un juge ou pour sa défense? La Cour de Cassation a répondu positivement à la 1ère branche de cette interrogation, dans un arrêt remarqué du 8 mars 2023 (Soc., 8 mars 2023, …
En savoir plus
Fiabilité de l’authentification et facilitation des droits RGPD : marcher sur la corde raide
Droit des données, RGPD, Sécurité informatique par Da_pierre le 16/08/2023

S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus
RGPD : entre respect du texte et rigidité de l’interprétation
Non classé par Da_pierre le 09/08/2023

Le RGPD doit être interprété de telle sorte que son champ d’application soit le plus large possible. C’est une constante. Cette analyse extensive peut toutefois s’avérer lourde de conséquences, et virer au rigorisme. Dans une décision du 13 avril 2023, la « CNIL italienne » a ainsi dégagé une situation de coresponsabilité entre la ville de Bologne et l’un de ses partenaires (GPDP, 13 avril 2023, Ville …
En savoir plus
Destinataire des données : interprétée strictement, la notion restreint le champ du droit à connaître leur identité
Droit des données par Da_pierre le 02/08/2023

« Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées » Tel est le titre retenu par la CJUE pour son communiqué de presse n° 107/23, relatif à l’arrêt Pankki S. Il se bornerait donc à reprendre l’arrêt Österreichische Post AG, qui imposait la transmission de la liste des destinataires des données. Mais à …
En savoir plus
3 règles de sécurité à respecter pour des vacances sans violation de données
cybersécurité, Sécurité informatique par Da_pierre le 26/07/2023

1) Ne pas laisser l’ordinateur sans surveillance (dans le train ou la voiture, par exemple) : les photos de PC « abandonnés » le temps d’une pause café sont désormais un grand classique (vraisemblablement constitutif d’un traitement de données… A bon entendeur). Pour éviter aussi bien cet affichage que le vol ou un piratage, mieux vaut donc ne jamais le laisser sans surveillance. Si le pire arrive, …
En savoir plus
Les chercheurs respirent : être 1er auteur ne signifie pas être responsable de traitement
Recherche médicale, RGPD par Da_pierre le 19/07/2023

Pour l’autorité de protection des données islandaise, le fait pour un membre du personnel d’un sous-traitant, participant à un recherche dans le domaine de la santé, d’être le 1er auteur d’un article sur le sujet de ladite recherche ne suffit pas à requalifier le sous-traitant en responsable de traitement (Persónuvernd, 8 septembre 2022, deCode Genetics, n° 2020123091). La décision rassure le chercheur. Elle surprend le …
En savoir plus
🔄⚖️ Sanctions disciplinaires à l’heure du RGPD : vers une révision systématique ?
Droit des données, RGPD par Da_pierre le 12/07/2023

Le droit disciplinaire n’échappe pas au RGPD. Constitutif d’une mesure de sécurité – la CNIL impose qu’il soit évoqué dans la charte informatique – ou d’un aveu de manquement à l’article 32 (AEPD, 14 novembre 2022, Ministre régional de la santé de Madrid), il est également « assujetti » au droit à la protection des données. En tout cas pour des personnes autres que les magistrats, si …
En savoir plus